Macのキーチェーンの基本(ログイン・システム・カスタム・iCloudキーチェーン)

by
03545 PV約6分
Macのキーチェーンの基本(ログイン・システム・カスタム・iCloudキーチェーン)

キーチェーン

Macは、ログインした瞬間からログアウトするまで(一部のサービスでは、ログインしていない状態でも)、主にライブラリフォルダ内のKeychainsフォルダに格納されているセキュアデータベースであるキーチェーンに依存しています

キーチェーンは、あらゆる目的のパスワード、セキュリティ証明書、秘密鍵、パスキー、秘密メモなどの秘密を保存、アクセス、管理するために使用されます

ログインキーチェーン

各ユーザのデフォルトのパーソナルキーチェーンは、~/Library/Keychains/login.keychain-dbにあるログインキーチェーンです、これはログイン時に自動的にロック解除され、ユーザ名と同じパスワードが設定されます

iCloudでキーチェーンを共有しても、これはデフォルトの個人用キーチェーンのままです、ここには、証明書やパスワードなどを一般的に使用するために保存する必要があります

ログインしている間はロックが解除され、読み取りと書き込みが可能な状態に保たれますが、そのコンテンツへのアクセスが保証されるわけではありません

使用しているアプリがmacOSのセキュリティシステムを呼び出して、保存されているパスワードを取得して使用する場合、macOSのセキュリティシステムは、そのアプリがその情報にアクセスすることを信頼できるかどうか、およびそのキーチェーンがロックされているかどうかを判断します

パスワードがそこに保存されていると仮定すると、アプリは信頼され(例えばSafariがそうであるように)、キーチェーンがロック解除され、パスワードが取得されてアプリに戻されます


アプリが信頼されていない場合、またはキーチェーンがロックされている場合は、アプリではなくセキュリティシステムによって、アプリにパスワードを提供する前に、認証するキーチェーンのパスワードを求めるダイアログが表示されます

この認証ダイアログは非常に重要であり、マルウェアが偽造しようとする可能性がありますが、常に探しておくべき特徴的な機能が含まれています

  • アイコンは鍵のかかった南京錠で構成され、その上にキーチェーンへのアクセスを要求したアプリやコンポーネントを表すミニチュアアイコンが重ねられています
  • 太字のメッセージ テキストは、キーチェーン アクセスを要求したアプリまたはコンポーネントの名前と、アクセスを要求しているアイテムを示しています、ここでは、名前付きの秘密メモです
  • 小さい文字は、キーチェーン パスワードを要求していることを示しています、これは、名前付きキーチェーンのロックを解除するために使用されるパスワードであり、Apple ID やその他のパスワードではありません
  • その信憑性に疑問がある場合は、[拒否]ボタンをクリックすると、リクエストが拒否されます
  • その信頼性に疑問がある場合は、キーチェーン アクセスを開き、そこでキーチェーンをロックし、キーチェーンを監視しながらアクションを繰り返して、ロックが解除され、正しく処理されていることを確認します

    • Keychain 001

ユーザーは、セキュリティシステムに関する限り、どのアプリが信頼できるかを判断することはできません、これらは、セキュリティシステム、アプリに付与される特定のアクセス権、およびキーチェーン内の個々の項目によって決定されます

最も制限の厳しいシステムでは、他のすべてのアプリがキーチェーン内の特定の秘密にアクセスすることを制限できますが、特定の秘密を複数の異なるアプリ間で共有することができます

システムキーチェーン

システムには、キーチェーンの 2つの重要なグループがあります

  • /System/Library/Keychains には、SystemRootCertificates と、そのバージョンの macOS のルート セキュリティ証明書のセットを提供するその他のものがあります
  • /Library/Keychains には、Mac の Wi-Fi 接続へのアクセスを取得するユーザーを含む、すべてのユーザーに必要な証明書とパスワードを提供するシステム キーチェーンとその他のキーチェーンがあります

カスタムキーチェーン

アプリとユーザは、独自のキーチェーンを作成することもできます

前のMacのログインキーチェーンをコピーして、~/Library/Keychainsに別の名前でコピーしておくと、新しいMacに移行するときに重要な証明書やパスワードを忘れてしまった場合でも、そこで見つけることができます

これらの追加のキーチェーンはキーチェーンの検索パスに含まれている場合がありますが、macOSがキーチェーンに保存されているシークレットを探している場合は、ログインキーチェーンとは異なり、通常はロックが解除されたままにはなりません

自分やアプリがアクセスしたい場合は、そのキーチェーンのパスワードを求められます

iCloudのキーチェーン

複数のMacまたはAppleデバイスを持っている場合は、すべての人がパスワードにアクセスできるようにする優れた方法として、iCloudでキーチェーンを共有することが推奨されています

ただし、開発者がコード署名に使用するようなセキュリティ証明書を共有するために使用することはできず、必要なログインキーチェーンごとに手動でインストールする必要があります、ただし、iCloudのキーチェーンはパスキーをうまく共有します

概念的には、パスワードやパスキーなどの特定の種類のデータをすべてiCloudに保存するのではなく、ローカルログインキーチェーン間で同期すると考えルのが適切です

iCloudキーチェーン内のデータはエンドツーエンドの暗号化によって保護され、暗号化された形式でiCloudにローカルに保存、転送、保持されます、これは、iCloudが提供する最高レベルのセキュリティです

暗号化キーは、デバイス固有の情報を使用して、他の誰もキーチェーンデータにアクセスできないようにします、Appleもそうですが、iCloudのキーチェーンはiCloud Data Recovery Serviceでは復元できず、iCloudにログインしているMacとデバイスでしかアクセスできません

ツール

2022 10 17 10 45 18
キーチェーンを操作するためのバンドルツールは、/Applications/Utilitiesにある「キーチェーンアクセス」アプリです

(Via The Eclectic Light Company.)


LEAVE A REPLY

*
*
* (公開されません)